Dominios similares explicados: cómo los detectamos

Q: ¿Cómo sé cuál es el dominio real en una URL larga?

Localice la extensión del dominio (TLD) como .es , .com o .net . La palabra que aparece justo antes es el dominio raíz. Todo lo que precede a ese dominio separado por puntos son subdominios. Por ejemplo, en soporte.bbva.es , el dominio es bbva.es y "soporte" es el subdominio — eso es legítimo. En bbva.es.fraudulento.com , el dominio es fraudulento.com .

Un dominio similar (en inglés, lookalike domain) es una dirección web diseñada para parecerse lo máximo posible a la de una marca o institución legítima. Los atacantes los usan en campañas de phishing, correos de fraude y sitios web falsos. Aunque el método varía, el objetivo siempre es el mismo: que usted confíe en el dominio sin comprobarlo.

Categorías principales de dominios similares

1. Typosquatting

Se registra un dominio con un error tipográfico deliberado: letra omitida, duplicada, cambiada o transpuesta. Ejemplos:

correcos.es en lugar de correos.es
bvva.es en lugar de bbva.es
haciendda.es en lugar de hacienda.es

Es la técnica más extendida por su simplicidad y bajo coste. Consulte nuestra guía sobre typosquatting para más detalles.

2. Ataques homógrafos

Se sustituye una o más letras latinas por caracteres visualmente idénticos de otro alfabeto (cirílico, griego, armenio). El dominio puede ser imposible de distinguir a simple vista. Más información en nuestra guía sobre ataques homógrafos.

3. Trucos de subdominio

El dominio real se coloca como subdominio de uno controlado por el atacante:

bbva.es.login-seguro.com — el dominio real es login-seguro.com
correos.es.seguimiento-paquete.net — el dominio real es seguimiento-paquete.net

La parte visible antes del primer punto imita al sitio oficial, pero la parte que importa en DNS es la última antes de la extensión.

4. Keyword stuffing

Se añaden palabras clave relacionadas con la marca para parecer oficial:

bbva-clientes-seguros.com
correos-seguimiento-es.net
agencia-tributaria-reembolso.es

Estos dominios suelen usarse en páginas de phishing con formularios de inicio de sesión o pago falsos.

5. TLD alternativo

Se usa el mismo nombre de la marca pero con un TLD diferente al oficial:

hacienda.com o hacienda.org en lugar de hacienda.gob.es
correos.com en lugar de correos.es

Cómo identificar el dominio real en una URL

Independientemente de la técnica usada, la regla es siempre la misma: el dominio real es la parte que aparece justo antes de la extensión (TLD). Por ejemplo, en bbva.es.login-seguro.com:

El TLD es .com
El dominio real es login-seguro
Todo lo anterior (bbva.es) es un subdominio del atacante

Esta estructura puede resultar confusa. Una forma rápida de comprobarlo es pegar la URL en 2check.click, que extrae y muestra el dominio raíz de forma clara.

Señales de alerta comunes

La URL contiene guiones donde el sitio oficial no los tiene.
Hay palabras adicionales como "seguro", "clientes", "verificacion" o "reembolso" en el dominio.
El TLD no coincide con el país de la empresa (por ejemplo, .com para un organismo español).
El dominio es muy reciente — los sitios de phishing suelen registrarse días antes del ataque.

Compruebe un enlace sospechoso

Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, redirecciones, antigüedad del dominio y otras señales de phishing.

Abrir el analizador de 2check.click

Preguntas frecuentes

¿Cómo sé cuál es el dominio real en una URL larga?

Localice la extensión del dominio (TLD) como .es, .com o .net. La palabra que aparece justo antes es el dominio raíz. Todo lo que precede a ese dominio separado por puntos son subdominios. Por ejemplo, en soporte.bbva.es, el dominio es bbva.es y "soporte" es el subdominio — eso es legítimo. En bbva.es.fraudulento.com, el dominio es fraudulento.com.

¿Un dominio con HTTPS es seguro?

HTTPS solo indica que la conexión está cifrada, no que el sitio sea auténtico. Un sitio de phishing puede tener un certificado válido y candado verde. Compruebe siempre el dominio, no solo el candado.

¿Los buscadores filtran estos dominios?

Google y otros buscadores marcan y eliminan muchos sitios de phishing, pero los dominios nuevos pueden aparecer en resultados durante horas o días antes de ser detectados. Los enlaces en SMS y correos electrónicos evitan por completo los buscadores.

¿Qué diferencia hay entre un dominio similar y un dominio falsificado (spoofed)?

Un dominio similar es un dominio real registrado por el atacante que imita a otro. Un dominio falsificado (spoofing) se refiere a técnicas como la manipulación de las cabeceras de correo para que el campo "De:" muestre una dirección legítima aunque el mensaje venga de otro origen. Son ataques distintos pero a menudo se combinan.

¿2check.click detecta todos los tipos de dominios similares?

El analizador comprueba typosquatting, caracteres homógrafos, trucos de subdominio y keyword stuffing contra una base de datos de marcas conocidas. También analiza la antigüedad del dominio y los patrones de la URL para detectar señales adicionales de fraude.